VideoLAN acaba de corregir una vulnerabilidad en VLC, el sumamente popular reproductor multimedia es vulnerable a un tipo de ataque a través de archivos AVI o MKV maliciosos, si uno de estos archivos diseñados especialmente para explotar el fallo es abierto por el usuario, el atacante podría ejecutar código de forma remota en el ordenador de la víctima.
Todas las versiones de VLC desde la 3.0 hasta la 3.0.6 están afectadas. Debes actualizar de inmediato a VLC 3.0.7 para estar protegido de esta amenaza. Puedes hacerlo descargando VLC desde la web oficial o a través de la misma aplicación.
Son dos fallos, inicialmente se descubrió un primer bug de sobrecarga de buffer en VLC que puede causar un cuelgue y podría desarrollarse de forma más extensa hasta llegar a un exploit de ejecución remota. Este fue calificado con una puntuación media.
Posteriormente se descubrió otro problema en el demuxer de Matroska al analizar archivos MKV, este tiene una puntuación de severidad crítica, puesto que tiene baja complejidad de acceso, no requiere autenticación para ser explotado, afecta parcialmente la integridad, la confidencialidad y la disponibilidad del sistema.
Afectada la reproducción de archivos AVI, MKV y AAC
VideoLAN recomienda a los usuarios que se abstengan de abrir archivos de terceros que no sean de confianza y de acceder a sitios remotos, o que desactiven los plugins de navegación de VLC hasta que hayan aplicado el parche.
Con una versión vulnerable de VLC podrías exponer tu sistema si abres o haces streaming de un archivo AVI o MKV malicioso. Además de esto,el parche para VLC también corrige un problema de seguridad que podría llevar a la ejecución de código remoto al reproducir archivos AAC.
Recordemos que VLC es un reproductor ampliamente utilizado y que a principios de año ya superaba las 3.000 millones de descargas. De momento no hay información sobre si la vulnerabilidad había estado siendo explotada.
Ver 4 comentarios